Защита персональных данных — опыт внедрения

Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие долго откладывалось, но когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, база примерно на 20000 человек в то время) проблема поднялась в 2008 году.
На начальном этапе не слишком сильно, но потом как в сказке: «Чем дальше, тем страшнее».

Первый этап — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено добавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Очень много бумаг и совсем мало техники
Второй этап — разработка правильной документации.
Наступал 2009 год и было известно, что Закон снова отложат. Финансирования нет. Никто особо не торопится. Можно разрабатывать документацию. Вышестоящая контора дала образцы следующих документов:

  • Приказ о назначении должностных лиц, ответственных за защиту информации ограниченного доступа, не содержащей государственной тайны;
  • Приказ об определении контролируемой зоны, в которой расположены узлы автоматизированной системы предназначенной для обработки информации ограниченного доступа, не содержащей государственно тайны;
  • Приказ о запрещении обработки информации ограниченного доступа на не аттестованных объектах информатизации
  • Инструкцию по эксплуатации средств защиты информации объекта вычислительной техники;
  • Инструкцию по установке нового и модификации используемого программного обеспечения на автоматизированной системе обрабатывающей информацию ограниченного доступа;
  • Инструкцию по организации антивирусной защиты на автоматизированной системе обрабатывающей информацию ограниченного доступа;
  • Инструкцию администратору информационной безопасности автоматизированной системы, обрабатывающей информацию ограниченного доступа;
  • Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированной системы обрабатывающей информацию ограниченного доступа;
  • Инструкцию по организации парольной защиты автоматизированной системы;
  • Инструкцию по организации резервного копирования данных автоматизированной системы обрабатывающей информацию ограниченного доступа;
  • Инструкцию пользователя автоматизированной системы.
  • Матрицу доступа к защищаемым ресурсам автоматизированной системы;
  • Технический паспорт на АС;
  • Журнал учета допуска к работе в автоматизированной системе обрабатывающей информацию ограниченного доступа;
  • Журнал учета и выдачи машинных носителей информации предназначенных для хранения информации ограниченного доступа, не содержащей государственной тайны;
  • Журнал учета средств защиты информации;
  • Форму Заявки на внесение пользователей АС;
  • Форму Акта проведения технических работ на объектах информатизации АС;
  • Перечень сведений конфиденциального характера;
  • Перечень защищаемых информационных ресурсов;
  • Описание технологического процесса обработки информации в выделенной локальной вычислительной сети;
  • Схему коммутации выделенной локально вычислительной сети;
  • Список лиц, допущенных к самостоятельной работе в АС.


Третий этап — закупка технических средств защиты информации.
Правильнее сказать, что закупала головная контора, мы потом только забирали. В результате получились:
— Далласы на рабочие станции
— Випнет координатор для защищенного доступа по IP-MPLS каналу к вышестоящей конторе.
— Глушилки
— Проведена сертификация Windows Server (здесь подобное обсуждается)

Четвертый этап — умственно-физические работы.
Защищаемая автоматизированная система должна быть защищена и физически. Тут очень удачно подвернулся переезд отдела, работающего с персональными данными на другой этаж. Данный отдел оказался в ограниченном помещении, один из кабинетов отобрали под серверную. В результате с этажа на маршрутизатор выходят два кабеля (основной и резервный). Компьютера форматнули, установили чистую обновленную винду, офис, антивирь, рабочую прогу. В октябре 2009 приехали ребята с Питера. Установили Далласы, глушилки, настроили випнет, сделали все замеры, откорректировали документацию.

Пятый этап — завершение.
В конце октября 2009 собралась внутренняя комиссия по защите персональных данных. Были назначены ответственные лица, которые должны были за неделю подготовить документы и провести работы по защите персональных данных (те самые, что перечислены со второго этапа). За неделю ответственные все сделали. И комиссия с радостью приняла защищенную систему в эксплуатацию. Скоро был получен аттестат на три года, на чем все и кончилось.

Понятно, что на самом деле кончилось еще не все.
К примеру защищенная система является единым программно-техническим комплексом. Мышь не поменяешь. Зато раз в год можно вызвать аттестатора для проверки соблюдения всех показателей защиты. А аттестатор имеет право изменять имеющиеся документы. Так что мышь поменять реально.
Ну и современная идея электронного межведомственного взаимодействия. Идея хорошая. Вот только, не предусмотренная предыдущей концепцией защиты персональных данных. Так что когда реализуем — будем делать аттестацию снова.

Спасибо за внимание.
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 36

    +4
    Вот так благие намерения ведут в бюрократический ад. Интересно, весь этот геморрой спасет от появления свежих пиратских баз данных?
      +2
      С одной стороны — бюрократический ад, а с другой стороны — надежда, что персональные данные будут под надежной защитой.
      Главное, что появится новый повод подать в суд на фирму-нарушитель)))) Всё, как в США))))
        +4
          +3
          Только если человек докажет, что данные утекли именно с нашей конторы:)
            0
            Не обязательно утекли. Может фирма решила продать определенные персональные данные рекламщикам или еще кому, заключила договор, и только потом выяснилось, что такие широкие права на персональные данные им никто не предоставлял. Тут будет все просто. Запрос в фирму-покупатель «А откуда у Вас это?», ответ фирмы-покупателя — «Оттуда», иск в суд на фирму-продавца. Это я, конечно, идеальную ситуацию описал. В действительности все будет сложнее)
              0
              Мы государственная контора. Потому данные не продаем. А в общем случае такое вполне возможно. Был уже образец подобного запроса (Когда Тиньков всех начал спамить своими предложениями). Тиньков ссылался на строчку — «передача третьим лицам».
              Бланк самого запроса лежит кажется на bankir.ru
          +4
          У нас такое законодательство. Мы его выполняем.
          Свежие пиратские базы не берутся из пустоты.
          И вычислить тех кто к ней имеет доступ довольно просто.
          В списке документов — Матрица доступа. В ней прописано, кто на что имеет право.
          +1
          Интересно не то что вы делаете чтобы их защищать(персональные данные), известно что это не работает даже там где много внимания уделяют защите, иначе не было бы столько утечек и взломов и не знали бы как работают все конкуренты, а интересно что вы будете делать когда эти персональные данные утекут.
          У вас есть план действия при свершившейся компрометации данных?
            +1
            Искать виноватого будем. И увольнять.
            А конкурентов у нас нет. Мы госконтора.
            Есть люди, которым интересны наши данные.
            Но они могут найти эти данные и через другие источники.
              0
              Уволив человека вы не уменьшите убытки от скомпрометированных данных. Это как случившийся пожар, чем быстрее потушишь — тем меньше убытки, и поджигатель уже мало на ход событий влияет.
                0
                Заодно замечу, что у нас маленький город. И если база утечет, то мы быстро узнаем у кого она есть. И попросим удалить данные.
                0
                Обязаны провести перед увольнением расследование. А по факту расследования, в зависимости от тяжести причиненного вреда, степень которого может установить Прокуратура, материалы расследования придется передать той самой Прокуратуре, которая будет обязана возбудить либо административное, либо уголовное дело. За сокрытие факта утечки, материалов этого расследования, ответственность могут понести должностные лица. Поэтому, советую Вам со всеми, кто имеет доступ к ПДн, провести беседу и уведомить об административной и уголовной ответственности за незаконную обработку ПДн, а также их незаконную передачу третьим лицам, желательно под роспись.
                  0
                  Мы как нормальные люди постараемся не раздувать скандал.
                  Если будет что-то серьезное, то разумеется что придется использовать правоохранительные органы.
                  Сотрудники уведомлены и везде расписались, что со всем ознакомлены.
                  Статьи из УК РФ были прикреплены к Инструкции пользователя автоматизированной системы, как часть Инструкции.
                  0
                  Замечу, что, кроме увольнения, отвественное должностное лицо и начальника организации за компрометацию персональных данных ждет еще кой-что похуже.
                0
                А каким образом физически организована контролируемая зона? и по каким правилам осуществляется допуск в нее?
                  0
                  Физически — зал плюс несколько прилегающих кабинетов.
                  Вход в зал свободный — прием. Сотрудники на приеме за дверью. Общаются через стекло.
                  Входы в кабинеты гражданам не нужны.
                  При отсутствии сотрудников — кабинеты закрываются на ключ. При этом входы в кабинеты — видно сотрудникам приема.
                  Серверная за отдельной дверью под замком в виде глухой комнаты, прилегающей к одному из кабинетов.
                  +1
                  Вы защищаете персональные данные по ПЭМИН? Зачем же так серьезно…
                    0
                    Общая концепция защиты была разработана вышестоящей конторой.
                    И разрабатывалась примерно в 2008. Дорабатывалась в 2009. На всякий случай Четырехкнижие и двухкнижие во внимание принимались.
                    Да и лишняя осторожность не помешает.
                      0
                      И тем не менее. Даже если вы учреждение здравоохранения — в 2009 году методика определения актуальных угроз для Минздравсоцразвития была уже согласована. Если вы просто вылетали в К1 — то Частная модель угроз помогает уйти от этих неприятных моментов.
                      Ставить целый Координатор — зачем? Если вы просто скидываете в головную организацию информацию — хватит 1 машины с VipNet Client + межсетевой экран на шлюзе. А в плане шифрования точка-точка больше подходят АПКШ «Континент» от «Кода безопасности».
                      Больше это напоминает не «излишнюю предосторожность», а недобросовестного интегратора, сыгравшего на незнании предметной области руководителями.
                        0
                        У нас чистая К2.
                        И имеется обычная ЛВС (делопроизводство, интернет, etc).
                        Доступ к вышестоящей конторе имеют обе сети через один IP-MPLS канал в полмегабита.
                        Естественно, что обе сети приходят к одному шлюзу (комп с windows server + настроенная маршрутизация), который и разруливает, на какую из двух сетей верхней конторы отправлять информацию. Соответственно, что на второй стороне тоже стоит шлюз.
                        Випнет-координатор в данном случае и играет роль межсетевого экрана, не допускающего доступ к закрытой сети кроме как с определенного адреса, и выпускающий на шлюз информацию в зашифрованном виде только по определенному адресу.
                        Випнет-координатор на другой стороне выполняет те же функции, но обрабатывает приходящие 20 подразделений типа нашего.
                        При этом наш домен в доверительных отношениях с доменом вышестоящей конторы.
                        Так что вопрос передачи данных очень веселый. И делался в режиме — сделаем связь, потом добавим что-то, потом дальше добавим что-то.
                        Перенастраивать всю такую красоту — себе дороже.
                          0
                          и вдогонку спрошу — судя по межсетевику на границе с интернетом, вы не выделяли ИСПДн в отдельный сегмент сети?
                            0
                            Межсетевик на границе со шлюзом. Потому официально в отдельном сегменте. От випнета (межсетевика), находящегося серверной за границу контролируемой зоны выходят два кабеля. Основной и резерв. С уже шифрованной информацией, как раз в другую серверную на шлюз. Но в тоже время этот отдельный сегмент входит в защищенную сеть вышестоящей конторы.
                            И к интернету сеть не прикасается вообще. А доступ по IP-MPLS — это все-таки не интернет доступ.
                              0
                              Почему я написал примерно, потому что межсетевой экран в моей реальности ушел в конфиденциальную сеть. И вместо него просто шлюз.
                              А в остальном схема близкая к нашим условиям.
                              0
                              Сама по себе схема примерно такая
                              image
                      0
                      Уж больно интересно, во сколько обходятся подобные процедуры…
                      Да и потом, все эти меры предпринимаются, но они не защищают от произвола силовых структур (пример — случай самизнаетекого и яндекса). И нет никакой гарантии, что после всех мероприятий по защите информации они не утекут через инсайдера. А лишняя осторожность в данном случае- это лишние расходы налогоплательщиков на весьма сомнительную деятельность.
                        0
                        Инсайдером могу выступить я, начальник отдела и вышестоящая контора. У вышестоящей конторы при этом будет информация месячной давности.
                        Силовые структуры спокойно приходят с бумагой о запросе информации по гражданину в рамках определенного уголовного дела и ссылкой на федеральный закон. И также спокойно нужную информацию по человеку получают.
                        0
                        >В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».

                          0
                          сорри, отправилось по ctrl+enter.
                          Замечу, что этого недостаточно — в этой приписке обязательно должно быть указание 152 ФЗ, а также заявитель должен выражать согласие не на «необходимое использование», а конкретно на список операций, предусмотренных законодательством, а именно «обработку, использование, и далее по списку», а также должен прописывать срок, на который дается согласие (до 5 лет), и отдельно поясняться вопрос передачи данных третьим лицам (если работаете с определенными организациями — можно было указать).
                            0
                            и далее по списку» — должно было быть за кавычками, потому что там реально надо перечислять большой список.
                              0
                              В большинстве организаций, вполне обходятся такой припиской. Т.к. подразумевается, что данное заявление для внутреннего хранения.
                              А для передачи и приема данных в другие организации, есть отдельные бланки согласий, в которых уже все прописано в полной мере.
                              И прописано крупными буквами, а не так, как при заполнении скидочной карты в каком-нибудь магазине типа «Эльдорадо».
                                +1
                                Вообще, по всем правилам, рядом с заявлением-согласием (или его блоков в тексте) должна стоять еще одна подпись соискателя.

                                А по поводу «обходятся» — неправильно обходятся, закон предполагает перечень действий, которые можно осуществлять с персональными данными, и получается вот такая простынка:

                                «Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, включения в списки (реестры) и иные отчетные формы, предусмотренные внутренними документами Оператора.»

                                — и это еще все по поводу внутреннего использования, не передачи.
                                  +1
                                  Кроме того, в заявлении-согласии должно быть явно прописано, что субъект персональных данных может письменным заявлением отозвать согласие. Так что вот так вот.
                                    0
                                    :) Данную форму разработали юристы вышестоящей организации. Потому при проблемах мы покажем Приказ сверху. И скажем — наша автоматизированная система входит в состав автоматизированной системы Департамента.
                                    И проблемы перестанут быть нашими.
                                      +1
                                      Это вряд ли. Оператором для обработки ПДн все равно является именно Ваша организация. И внутренние приказы не распространяются на внутреннюю организацию деятельности.
                                        0
                                        Официально мы числимся подразделением. И действуем под общим Положением. Так что бланки используемых документов утверждаем не мы.
                                          0
                                          Ошибочка вышла. Внутренние приказы распространяются на внутреннюю организацию деятельности. НЕ — было лишним.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое